เฟรมเวิร์กแรนซัมแวร์ที่ฆ่า EDR เรียกร้องการป้องกันแบบหลายชั้น
กลุ่มแรนซัมแวร์ได้เขียนกฎเกณฑ์การโจมตีของตัวเองขึ้นใหม่อย่างเงียบๆ แทนที่จะเร่งเข้ารหัสไฟล์ก่อนที่เครื่องมือรักษาความปลอดภัยจะตอบสนอง หลายกลุ่มกลับเริ่มด้วยขั้นตอนที่วางแผนไว้ก่อน นั่นคือการทำให้เครื่องมือเหล่านั้นใช้งานไม่ได้โดยสิ้นเชิง การเพิ่มขึ้นของกลยุทธ์ป้องกันแรนซัมแวร์แบบปิดการทำงานของ EDR กำลังท้าทายสมมติฐานพื้นฐานที่หล่อหลอมระบบความปลอดภัยขององค์กรมาหลายปี นั่นคือซอฟต์แวร์ตรวจจับและตอบสนองปลายทาง (EDR) ทำหน้าที่เป็นแนวป้องกันสุดท้ายที่เชื่อถือได้
เมื่อผู้โจมตีสามารถทำให้ชั้นป้องกันนั้นเป็นกลางก่อนการโจมตีจะเริ่มขึ้น โมเดลความปลอดภัยทั้งหมดจำเป็นต้องได้รับการตรวจสอบใหม่
เฟรมเวิร์กที่ใช้ปิด EDR ทำงานอย่างไร และเหตุใดจึงแพร่กระจาย
ซอฟต์แวร์ EDR ทำงานโดยเฝ้าติดตามพฤติกรรมของกระบวนการ กิจกรรมไฟล์ และการเรียกเครือข่ายในระดับปลายทาง ซอฟต์แวร์สามารถแจ้งเตือนรูปแบบที่น่าสงสัยแบบเรียลไทม์ และแจ้งเตือนทีมรักษาความปลอดภัยหรือแยกภัยคุกคามออกโดยอัตโนมัติ การมองเห็นนั้นคือสิ่งที่ผู้โจมตีต้องการกำจัดออกไป
เฟรมเวิร์กที่ใช้ปิด EDR ซึ่งบางครั้งเรียกว่า “ตัวฆ่า EDR” มักใช้ประโยชน์จากช่องโหว่ประเภทหนึ่งที่เกี่ยวข้องกับไดรเวอร์ที่ถูกต้องแต่อ่อนแอ เนื่องจาก Windows ให้ความไว้วางใจสูงแก่ไดรเวอร์ระดับเคอร์เนลที่ลงนามบางตัว ผู้โจมตีจึงโหลดไดรเวอร์ที่มีช่องโหว่ลงบนเครื่องเป้าหมาย และใช้เป็นเครื่องมือในการหยุดหรือทำให้กระบวนการรักษาความปลอดภัยที่ทำงานในพื้นที่ผู้ใช้มองไม่เห็น เทคนิคนี้รู้จักกันในวงกว้างว่า Bring Your Own Vulnerable Driver (BYOVD) และถูกนำไปใช้โดยปฏิบัติการแรนซัมแวร์หลายแห่ง รวมถึง RansomHub ซึ่งใช้เครื่องมือ EDRKillShifter ในห่วงโซ่การโจมตีที่ถูกบันทึกไว้
แรงจูงใจของผู้โจมตีนั้นตรงไปตรงมา เมื่อ EDR ถูกทำให้เป็นกลางแล้ว ขั้นตอนการโจมตีที่เหลือ รวมถึงการเคลื่อนที่ด้านข้าง การขโมยข้อมูล และการเข้ารหัสไฟล์ สามารถดำเนินต่อไปได้โดยมีความเสี่ยงที่จะถูกตรวจจับหรือขัดจังหวะลดลงอย่างมาก ทีมรักษาความปลอดภัยจะไม่เห็นอะไรเลยจนกว่าจะสายเกินไป
เฟรมเวิร์กเหล่านี้ยังแพร่กระจายเพราะอุปสรรคในการเริ่มต้นกำลังลดลง ชุดเครื่องมือกลายเป็นสินค้าและถูกแบ่งปันกันในระบบนิเวศ ransomware-as-a-service หมายความว่ากลุ่มที่มีความเชี่ยวชาญทางเทคนิคที่จำกัดสามารถปรับใช้เครื่องมือเหล่านี้ไปพร้อมกับตัวปล่อยเพย์โหลดได้แล้ว
จะเกิดอะไรขึ้นเมื่อระบบความปลอดภัยปลายทางของคุณดับลง
ผลลัพธ์โดยทันทีของการฆ่า EDR สำเร็จคือการดับมืดด้านการมองเห็นที่ปลายทาง ทีมศูนย์ปฏิบัติการความปลอดภัย (SOC) สูญเสียข้อมูลเทเลเมทรี กฎการตอบสนองอัตโนมัติหยุดทำงาน สมมติฐานที่สร้างไว้ในแผนปฏิบัติการตอบสนองต่อเหตุการณ์ไม่เป็นจริงอีกต่อไป
นี่ไม่ใช่แค่ปัญหาทางเทคนิคเท่านั้น แต่มันคือปัญหาขององค์กร โปรแกรมรักษาความปลอดภัยจำนวนมากถูกออกแบบมาโดยอาศัยแนวคิดที่ว่า EDR เป็นพื้นฐานการตรวจจับที่เชื่อถือได้ เมื่อพื้นฐานนั้นหายไป ทีมที่ขาดระบบควบคุมชดเชยจะพบว่าตนเองกำลังตอบสนองต่อการโจมตีที่พวกเขามองไม่เห็นล่วงหน้า
รูปแบบที่กว้างขึ้นนี้เชื่อมโยงกับการเปลี่ยนแปลงวิธีที่ผู้โจมตีใช้ในการเข้าถึงครั้งแรก ดังที่ Verizon 2026 Data Breach Investigations Report พบว่า ช่องโหว่ของซอฟต์แวร์ได้แซงหน้าข้อมูลประจำตัวที่ถูกขโมยขึ้นเป็นจุดเริ่มต้นการละเมิดอันดับต้น ๆ ผู้โจมตีกำลังใช้ประโยชน์จากข้อบกพร่องของซอฟต์แวร์เพื่อเข้าถึง จากนั้นจึงปรับใช้เครื่องมือปิด EDR เพื่อลบการมองเห็น ก่อนที่จะดำเนินการปล่อยเพย์โหลดหลัก ทั้งสองแนวโน้มนี้หนุนเสริมซึ่งกันและกัน
องค์กรด้านสุขภาพมีความเสี่ยงเป็นพิเศษ ผลที่ตามมาจากช่องว่างการมองเห็นในภาคส่วนที่พึ่งพาระบบที่พร้อมใช้งานตลอดเวลานั้นร้ายแรง ดังที่แสดงโดยเหตุการณ์อย่าง การละเมิด ChipSoft ซึ่งเน้นว่าการเข้ารหัสที่ไม่เพียงพอทำให้ความเสียหายทวีคูณขึ้นเมื่อการป้องกันถูกหลบเลี่ยง
เหตุใดการป้องกันในระดับเครือข่ายจึงเติมเต็มช่องว่าง
ความปลอดภัยปลายทางและความปลอดภัยระดับเครือข่ายไม่ใช่สิ่งที่ซ้ำซ้อนกัน มันเฝ้าดูสิ่งที่แตกต่างกัน แม้ว่า EDR จะถูกทำให้ตาบอด การจราจรเครือข่ายก็ยังคงไหลอยู่ และการจราจรนั้นก็มีสัญญาณ
เครื่องมือตรวจจับและตอบสนองเครือข่าย (NDR) จะตรวจสอบการจราจรภายในขอบเขตเครือข่าย (east-west) รูปแบบการเคลื่อนที่ด้านข้าง การสอบถาม DNS ที่ผิดปกติ และการเชื่อมต่อขาออกที่ไม่คาดคิด ที่สำคัญคือเครื่องมือทำงานอย่างอิสระจากเอเจนต์ปลายทาง ผู้โจมตีที่ฆ่ากระบวนการ EDR ไม่มีกลไกโดยตรงที่จะทำให้โครงสร้างพื้นฐานการเฝ้าติดตามเครือข่ายตาบอดไปพร้อมกัน
VPN และอุโมงค์เข้ารหัสมีบทบาทสนับสนุนในภาพนี้ ในระดับองค์กร การบังคับให้การจราจรทั้งหมดผ่านเกตเวย์ VPN ที่ถูกเฝ้าติดตามหมายความว่าแม้ว่าปลายทางจะถูกโจมตี เส้นทางเครือข่ายก็ยังคงมองเห็นได้และอยู่ภายใต้การบังคับใช้นโยบาย สถาปัตยกรรมการเข้าถึงเครือข่ายแบบ zero-trust (ZTNA) ขยายสิ่งนี้ออกไปอีกโดยต้องการการพิสูจน์อย่างต่อเนื่องที่ระดับเครือข่าย ไม่ใช่แค่ตอนเข้าสู่ระบบครั้งแรก
สำหรับผู้ปฏิบัติงานระยะไกลและทีมกระจาย การบังคับใช้ VPN ยังช่วยให้แน่ใจว่าการจราจรจากปลายทางที่อาจถูกโจมตีจะไม่หลบเลี่ยงการควบคุมขอบเขตไปโดยสิ้นเชิง ระดับเครือข่ายกลายเป็นจุดตรวจสอบสำรองที่มัลแวร์ที่ฆ่า EDR ไม่สามารถทำให้หยุดทำงานได้ง่ายๆ
ขั้นตอนที่ปฏิบัติได้จริง: วาง VPN และการเข้ารหัสเป็นชั้นควบคู่กับ EDR
สถาปัตยกรรมความปลอดภัยที่ยืดหยุ่นถือว่า EDR เป็นหนึ่งในหลายชั้น ไม่ใช่กลไกการตรวจจับเพียงอย่างเดียว ต่อไปนี้คือขั้นตอนที่องค์กรสามารถนำไปปฏิบัติเพื่อลดการเปิดรับต่อการโจมตีที่ทำให้ EDR เป็นกลาง
ตรวจสอบนโยบายไดรเวอร์ของคุณ Windows Defender Application Control (WDAC) สามารถกำหนดค่าให้บล็อกไดรเวอร์ที่ทราบว่ามีช่องโหว่ก่อนที่จะถูกโหลด Microsoft มีรายการบล็อกที่ควรนำไปใช้อย่างแข็งขันและปรับปรุงให้เป็นปัจจุบัน นี่จะโจมตีเทคนิค BYOVD โดยตรงที่ต้นตอ
เปิดใช้งานการป้องกันการแก้ไข EDR แพลตฟอร์ม EDR หลักส่วนใหญ่มีคุณสมบัติป้องกันการแก้ไขที่ทำให้มันยากขึ้นอย่างมากที่จะฆ่าเอเจนต์จากพื้นที่ผู้ใช้ คุณสมบัติเหล่านี้ไม่ได้เปิดใช้งานโดยค่าเริ่มต้นเสมอไป และควรได้รับการตรวจสอบเป็นส่วนหนึ่งของการตรวจสอบความปลอดภัยทุกครั้ง
ลงทุนในการมองเห็นระดับเครือข่าย หากสแต็กปัจจุบันของคุณพึ่งพาข้อมูลเทเลเมทรีจากปลายทางเป็นอย่างมาก ให้เพิ่ม NDR หรือการวิเคราะห์การไหลของเครือข่ายเพื่อให้มีช่องทางการตรวจจับอิสระ สิ่งนี้ช่วยให้แน่ใจว่าความพยายามเคลื่อนที่ด้านข้างและขโมยข้อมูลยังคงมองเห็นได้แม้เมื่อปลายทางถูกโจมตี
บังคับใช้ VPN หรือ ZTNA สำหรับการเข้าถึงระยะไกลทั้งหมด การกำหนดให้การจราจรต้องผ่านเกตเวย์ที่ถูกเฝ้าติดตามเพิ่มจุดตรวจสอบสำรอง รวมสิ่งนี้เข้ากับนโยบายการสื่อสารที่เข้ารหัสเพื่อให้แน่ใจว่าแม้ว่าการจราจรจะถูกดักจับก็จะไม่ให้ข้อมูลที่ใช้ได้แก่ผู้โจมตี
จัดทำการจำลองสถานการณ์บนโต๊ะที่สมมติว่า EDR ล้มเหลว แผนการตอบสนองต่อเหตุการณ์ที่สมมติว่า EDR ทำงานได้เสมอจะพังทลายในสถานการณ์ที่จำเป็นต้องใช้มากที่สุด ฝึกตอบสนองต่อสถานการณ์ที่ข้อมูลเทเลเมทรีจากปลายทางไม่สามารถใช้ได้
ผู้ดำเนินการแรนซัมแวร์ได้ทำให้กลยุทธ์ของตนชัดเจนแล้ว: กำจัดเครื่องมือที่ถูกออกแบบมาเพื่อหยุดพวกมันก่อนที่จะปล่อยเพย์โหลด องค์กรที่จะรับมือได้ดีที่สุดคือกลุ่มที่ไม่ได้พึ่งพาชั้นใดชั้นหนึ่งให้แบกรับภาระการป้องกันทั้งหมด ถึงเวลาแล้วที่จะตรวจสอบสแตกความปลอดภัยของคุณ ตรวจสอบว่ามีการควบคุมชดเชยอยู่ในระดับเครือข่าย และตรวจสอบให้แน่ใจว่าแผนการตอบสนองต่อเหตุการณ์ของคุณรองรับโลกที่เครื่องมือปลายทางของคุณอาจไม่อยู่ที่นั่นเมื่อคุณต้องการมันมากที่สุด
